Le fisc révèle un accès illégitime à 1,2 million de comptes FICOBA pendant 16 jours

1,2 million de comptes bancaires concernés, et un fichier que personne n’a envie de voir traîner sur un forum. Le piratage de FICOBA, la base qui recense les comptes ouverts dans les banques françaises, a pris une autre dimension quand le fisc a commencé à lâcher des détails concrets. On parle d’accès illégitimes, pas d’une simple alerte technique. Et surtout, d’un attaquant qui a eu le temps de regarder.

Le truc, c’est que l’administration explique que l’intrusion a duré 16 jours, du 28 janvier au 13 février 2026. Pendant cette fenêtre, l’acteur malveillant a pu consulter une partie du fichier, avec des infos qui suffisent à alimenter des arnaques crédibles: identité, adresse, coordonnées bancaires (RIB/IBAN). Ce n’est pas un scénario de film, c’est la matière première des escrocs du quotidien.

16 jours d’intrusion, du 28 janvier au 13 février

Ce que la DGFiP met sur la table, c’est la durée. Seize jours, c’est long. Pas long au sens “ils ont tout vidé”, mais long au sens “ils ont eu le temps d’explorer”. Dans une attaque, le temps, c’est l’oxygène. Plus tu restes, plus tu comprends le système, les habitudes, les accès, les chemins faciles. Et là, la fenêtre est datée, cadrée, assumée.

Dans les faits, l’attaquant a pu consulter une partie de FICOBA. Ce fichier n’est pas un relevé bancaire, ni un coffre qui contient tes soldes. C’est un annuaire des comptes: qui détient quoi, dans quelle banque, avec des identifiants de compte. Résultat, ça ne permet pas de “vider” un compte directement, mais ça permet de savoir exactement à qui s’adresser et avec quelles infos pour paraître légitime.

Le fisc parle d’environ 1,2 million de comptes concernés, et précise que ça représente moins de 1 % des coordonnées contenues dans FICOBA. Dit comme ça, certains vont souffler: “moins de 1 %, ça va”. Sauf que 1,2 million, c’est une ville entière, version XXL. Et surtout, chaque fiche est un individu, une adresse, un IBAN, parfois un identifiant fiscal selon certaines communications autour de l’affaire.

Ce qui frappe, c’est la mécanique classique des incidents publics: détection, restriction d’accès en urgence, puis rétablissement progressif “dans les meilleures conditions”. On comprend l’idée. Tu coupes ce qui fuit, tu limites la casse, tu reprends la main. Mais pour le public, la question reste brutale: comment un accès illégitime peut-il durer plus de deux semaines sans déclencher plus tôt des alarmes qui hurlent?

Quelles données ont été consultées dans FICOBA

Sur la nature des données, la DGFiP et les autorités parlent surtout de trois blocs: l’identité du titulaire, l’adresse, et les coordonnées bancaires type RIB/IBAN. C’est déjà énorme. Avec ça, tu montes des messages qui sonnent vrai: “Bonjour Monsieur X, nous confirmons votre RIB commençant par FR76…”. La plupart des gens se crispent quand on leur demande un code, mais quand on leur récite leur adresse, ils baissent la garde.

Il y a aussi un point qui a fait tiquer: l’identifiant fiscal. Certaines communications indiquent que, dans certains cas, il aurait fait partie des données divulguées. D’autres précisent qu’il n’aurait pas été consulté lors des accès illégitimes. Ce décalage, même si ça se joue sur des cas particuliers ou sur des périmètres différents, nourrit un doute simple: qui sait exactement ce qui a été vu, copié, exfiltré, et comment le prouver sans ambiguïté?

Pour être clair, un IBAN seul ne suffit pas à te dépouiller. Les banques ont des contrôles, et les virements sortants ne se déclenchent pas juste parce que quelqu’un connaît ton RIB. Mais l’IBAN, c’est l’entrée du tunnel. Derrière, tu as le social engineering: faux conseiller bancaire, faux agent des impôts, faux service antifraude. Et là, le combo identité + adresse + banque supposée, c’est du carburant.

Concrètement, imagine le scénario le plus banal: un appel qui tombe à 18h30, pile quand tu cuisines. “Je vous appelle du service sécurité, on voit un virement suspect, confirmez votre identité.” Le gars connaît ton nom, ton adresse, et te cite ton IBAN partiellement. Tu te dis qu’il est “dans le système”. Il te demande ensuite un code reçu par SMS “pour annuler”. Et c’est là que tu te fais plumer, pas par la fuite elle-même, mais par l’arnaque construite dessus.

Le compte d’un fonctionnaire, et l’absence de double facteur

Le point le plus embarrassant, c’est l’origine décrite: le piratage découlerait du hack du compte d’un fonctionnaire, qui avait un accès dans le cadre d’échanges d’information entre ministères. Pas besoin d’un exploit de science-fiction. Tu voles des identifiants, tu te connectes comme un utilisateur légitime, et tu avances. Dans les administrations comme dans les entreprises, c’est souvent la porte la plus bête qui cède.

Et là, la phrase qui fait mal: absence d’authentification à deux facteurs. En 2026, ne pas avoir de 2FA sur des accès sensibles, c’est comme laisser une clé sous le paillasson et s’étonner que quelqu’un la trouve. Oui, ça arrive partout, oui, c’est “compliqué” à déployer, oui, il y a des outils anciens. Mais FICOBA, c’est le genre de base où tu mets des ceintures, des bretelles, et un casque.

Sur la méthode, deux pistes sont évoquées: phishing ou récupération via un malware type infostealer. Le phishing, tu connais: un mail bien fait, un faux portail, et tu saisis ton mot de passe. L’infostealer, c’est plus sournois: une machine infectée aspire les identifiants enregistrés, les cookies, parfois les sessions. Dans les deux cas, l’attaquant n’a pas besoin de casser la porte blindée si quelqu’un lui donne le badge.

J’ai entendu un consultant cyber, Marc, me résumer ça de façon brutale: “Le 2FA, c’est pas magique, mais ça casse l’économie des attaques. Sans ça, un mot de passe volé vaut de l’or.” Et c’est exactement le sujet. Le fisc parle de mesures immédiates de restriction d’accès. Très bien. Mais la vraie question, c’est la prévention: combien de comptes similaires existent, et combien ont encore une authentification au rabais sur des accès qui touchent des millions de gens?

Ce que risquent vraiment les victimes: arnaques et usurpation

Le danger principal, ce n’est pas un “pirate” qui clique et vide ton compte. Les autorités et les acteurs bancaires le disent: le risque, c’est l’arnaque, l’usurpation d’identité, la manipulation. François Lefebvre, côté Fédération bancaire française, appelle à une vigilance totale: ne jamais donner ses données, ses codes, ses identifiants, ses mots de passe, quel que soit le canal. Ça paraît évident, sauf que dans la vraie vie, les gens craquent.

Pourquoi ils craquent? Parce qu’une fuite rend les arnaques plus crédibles. Quand un escroc a ton nom et ton adresse, il peut te faire croire qu’il “vérifie” une info. Quand il a ton IBAN, il peut te raconter qu’il “bloque” un prélèvement. Et quand il se fait passer pour une administration, il sait que beaucoup de gens ont peur de l’impôt, des pénalités, des relances. Du coup, la pression psychologique fait le boulot.

Autre conséquence: le harcèlement multicanal. Un mail, puis un SMS, puis un appel. Les escrocs testent, relancent, changent de ton. Et ils peuvent cibler les profils qu’ils estiment plus vulnérables: personnes âgées, nouveaux arrivants, gens qui ont eu un incident bancaire. Même si la fuite ne donne pas tout, elle donne assez pour trier et personnaliser. C’est ça, la différence entre spam idiot et attaque qui mord.

Le revers de la médaille, c’est qu’on finit par dire aux victimes de “faire attention”, comme si tout reposait sur elles. Oui, tu dois être vigilant. Mais l’info de base, c’est que tes données n’auraient pas dû se retrouver consultables par un acteur malveillant pendant 16 jours. Le discours “ne répondez pas” est utile, mais il ne doit pas servir de paravent au sujet central: la sécurité des accès, et la traçabilité réelle de ce qui a été consulté.

Réaction de Bercy, banques alertées, et comparaison avec d’autres États

Côté réaction, la DGFiP explique avoir restreint les accès dès la détection, pour stopper l’attaque, limiter l’ampleur des données consultées et extraites, et prévenir toute nouvelle consultation illégitime. Des travaux sont annoncés pour rétablir le service avec de meilleures protections. Et les usagers concernés doivent recevoir une information individuelle, par e-mail ou courrier selon les cas. C’est la base en gestion d’incident: prévenir, documenter, réduire l’exposition.

Les banques ont aussi été contactées pour sensibiliser les clients. C’est logique: quand des IBAN circulent, tu peux voir apparaître des tentatives de fraude par prélèvement, ou des montages d’arnaques plus sophistiqués. Les établissements ne vont pas bloquer des comptes juste parce qu’un fichier a fuité, mais ils peuvent renforcer la détection, pousser des messages d’alerte, rappeler les règles. Dans la pratique, ça se joue souvent sur des signaux faibles et des comportements inhabituels.

Politiquement, la ministre de l’Action et des Comptes publics a reconnu à demi-mot une défaillance, en parlant de vigilance renforcée et de transparence totale quand les systèmes n’ont pas complètement fonctionné. C’est une phrase prudente, presque automatique. Mais elle dit un truc: l’État sait que l’opinion n’accepte plus les zones grises sur des fichiers sensibles. Et quand on parle d’argent, la tolérance est proche de zéro.

Ce piratage s’inscrit dans un contexte plus large: les services publics sont devenus des cibles comme les autres, en France et ailleurs. On a vu au Sénégal une attaque visant l’administration fiscale, avec une logique d’otage numérique et de pression. Ce ne sont pas les mêmes modalités, mais la tendance est la même: les institutions vitales attirent les attaquants parce qu’elles concentrent des données, des accès, et parfois des outils vieillissants. Et tant que la sécurité sera traitée comme un chantier “progressif”, les attaquants, eux, resteront pressés.